Suez-Lyonnaise des eaux se fout de vos données personnelles et les brokers continuent d'installer leurs serveurs n'importe comment...
| Récapitulatif
des papiers sur le monde étrange des administrateurs réseau et systèmes |
| Récapitulatif
de nos copies d'écran sur ce même monde étrange |
| It's a funky job. But Kitetoa's digital clone does it... |
| Do you know info-hack Kung-Fu? |
| La hotte du Kitetopapanoël |
| Ze Mega
Kite-Teuf! La fête de l'été de Kitetoa... Les sites les plus nazes de l'été 2000 |
| La
Loi de 78 impose aux entreprises de protéger les bases de données qu'elles constituent... |
D'autres nous disent: "mais on ne peut rien faire en listant les directories d'un serveur". Oui...
Nous avons surfé sur les sites suivants:
www.suez-lyonnaise-eaux.com
www.abax.tm.fr (trader)
www.ferri.fr (trader)
Le premier nous offre la possibilité de consulter des mots de passe, mais aussi des listes de journalistes abonnés à la mailing-list de la boite, les logs du serveur, les fichiers de configuration du serveur, de la base de données, etc., etc.
Quelques images de www.suez-lyonnaise-eaux.com pour montrer que l'on ne vous raconte pas n'importe quoi:
Image
1 (page d'administration à distance)
Image 2 (module de mise à
jour à distance)
Image 3 (liste -un peu
brouillée évidemment- des journalistes et de leurs e-mails)
Triste installation pour une entreprise de cet acabit et disposant de tels moyens. Encore une fois, messieurs les chantres du e-commerce, de l'e-intelligence, de l'e-n'importe quoi, si vous ne savez pas conserver nos données personnelles dans un endroit sur, ne les collectez pas!
Mais Suez Lyonnaise des Eaux n'est pas la seule à faire n'importe quoi et les habitués du dossier "Le monde fou, fou, fou des Admins" le savent bien.
Nous avons donc regardé encore une fois ce que faisaient les brokers en ce moment. Depuis l'époque où CPR/E*Trade avait laissé traîner les mots de passe de l'administrateur du serveur dans un directory et où Directfinance nous laissait entrevoir sa base de données sous NT, nous n'avions pas trop fait attention à ce domaine pourtant très intéressant. En effet, la presse ne cesse de parler d'explosion du courtage en ligne et de vanter ses mérites. Sans jamais parler de sécurité bien entendu. Allez, nos listing de directories ne valent pas un vol de session SSL (nos brokers ne savent d'ailleurs sûrement pas ce que c'est) mais c'est déjà assez rigolo. Le serveur d'Abax permet de monter le module de mise à jour à distance via une page d'administration. Les deux devraient normalement être inaccessibles bien entendu. Abax dispose d'un site vitrine et d'un site pour les transaction. Les deux sont accessibles. Ferri, autre broker parisien fort connu (pour ceux qui lisent la Tribune ou les Echos) nous propose le même jeu. D'autant qu'il est lié à Abax (on ze ouèb). Enfin, Boursedirect dont nous parlions il y a des mois dans ce même dossier en est toujours au même point. Bah...
